Para peneliti dari ReversingLabs baru-baru ini mengungkap sejumlah kampanye berbahaya yang menargetkan komunitas mata uang kripto. Kampanye ini menyasar dompet kripto populer seperti Exodus dan Atomic, dengan tujuan mencuri aset digital pengguna.
Menurut laporan tim penelitian, para pelaku ancaman semakin gencar mengeksploitasi komunitas kripto melalui berbagai metode. Salah satunya adalah membajak paket perangkat lunak sah untuk menyusupkan kode berbahaya. Namun, karena tingginya pengawasan dalam komunitas perangkat lunak sumber terbuka (OSS), upaya semacam ini sulit dilakukan. Paket yang dirusak biasanya cepat terdeteksi oleh komunitas pengembang.
Untuk mengatasi tantangan tersebut, para pelaku ancaman mengembangkan metode yang lebih canggih dan sulit dilacak. Salah satu teknik yang diidentifikasi oleh ReversingLabs adalah mengunggah paket berbahaya ke repositori OSS dan menyisipkan ‘tambalan’ jahat ke dalam pustaka lokal yang sah. Teknik ini memungkinkan pelaku menyusupkan kode berbahaya tanpa terdeteksi, terutama pada pustaka tepercaya yang sering digunakan. 
Salah satu contoh terbaru ditemukan pada 1 April ketika sebuah paket bernama pdf-to-office muncul di pengelola paket npm. Paket ini menyamar sebagai alat untuk mengonversi file PDF menjadi dokumen Microsoft Office. Namun, begitu dijalankan, paket ini menyuntikkan kode berbahaya ke dalam instalasi lokal Atomic Wallet dan Exodus Wallet. Kode tersebut menimpa file yang ada, sehingga memungkinkan pelaku mengalihkan dana kripto pengguna ke alamat dompet milik mereka.
ReversingLabs mencatat bahwa kampanye ini memiliki kemiripan dengan serangan lain yang mereka bahas dalam laporan sebelumnya pada bulan Maret. Meski demikian, penting untuk dicatat bahwa kampanye berbahaya ini tidak memengaruhi pemasang resmi Atomic Wallet dan Exodus Wallet yang diunduh langsung dari situs web mereka.
Penemuan ini menjadi pengingat bagi pengguna kripto untuk selalu berhati-hati dan memastikan perangkat lunak yang digunakan berasal dari sumber resmi.
Bertujuan untuk Versi Dompet Tertentu
ReversingLabs pertama kali mendeteksi keberadaan paket pdf-to-office setelah pembaruannya di npm pada 1 April. Paket ini segera dihapus setelah ditemukan. Namun, beberapa hari kemudian, pelaku ancaman kembali merilis versi baru yang menyerupai versi sebelumnya. Selama bulan Maret dan April, mereka meluncurkan tiga versi paket dengan fungsionalitas berbahaya yang serupa.
Muatan berbahaya dalam paket ini dirancang untuk mendeteksi keberadaan arsip atomic/resources/app.asar di direktori AppData/Local/Programs. Jika ditemukan, pengguna yang tidak menyadari ancaman tersebut akan menginstal Atomic Wallet pada komputer yang telah terinfeksi.
Kode berbahaya ini kemudian memodifikasi arsip dengan menimpa salah satu file menggunakan versi trojan. File tersebut secara diam-diam mengubah alamat kripto tujuan transaksi, sehingga dana langsung dialihkan ke dompet milik pelaku ancaman.
“Perbedaan utama antara file yang sah dan file yang telah ditrojan adalah adanya kode berbahaya yang menyusup, sementara file lainnya dibiarkan tidak dimodifikasi,” demikian laporan yang dirilis.
Selain itu, serangan ini menargetkan versi spesifik dari Atomic Wallet. Kode berbahaya akan menyesuaikan file mana yang akan ditimpa berdasarkan versi dompet yang ditemukan.
Tidak hanya itu, muatan berbahaya juga mencoba menyuntikkan file trojan ke dalam aplikasi Exodus Wallet yang sah. Serangan ini secara khusus menargetkan dua versi terbaru Exodus yang terinstal secara lokal.
Jika korban menghapus paket pdf-to-office dari komputernya, perangkat lunak dompet Web3 yang telah terinfeksi tetap terganggu. Akibatnya, transaksi kripto masih diarahkan ke dompet pelaku ancaman.
“Satu-satunya cara untuk menghilangkan file trojan dari perangkat lunak dompet Web3 adalah dengan sepenuhnya menghapus aplikasi tersebut dari komputer dan menginstalnya kembali dari sumber yang terpercaya,” jelas ReversingLabs.
Di sisi lain, kelompok Lazarus asal Korea Utara telah lama menargetkan pengembang kripto melalui serangan rantai pasokan npm. Kampanye global yang sangat canggih ini bertujuan mencuri dana dan data, menunjukkan skala ancaman yang semakin kompleks.
